política de tratamiento de datos personales

2 mar. 2017 - Ley 1581 de 2012, define su ámbito de aplicación en los derechos a la intimidad, el buen nombre y la autodeterminación informativa.
249KB Größe 9 Downloads 103 vistas
POLÍTICA DE TRATAMIENTO DE DATOS PERSONALES Distribución: eMail: Teléfono: Dirección:

Versión: Idioma: Fecha: Páginas:

Clientes, Proveedores, Empleados, Colaboradores y Terceros [email protected] [email protected] +57 1 667 2578 Calle 93 A # 13 – 24 Piso 5 Bogotá D.C., Colombia

Nº 2.0 Español 03/02/2017 1/24

1

OBJETIVO............................................................................................................. 4

2

ALCANCE ............................................................................................................. 4

3

DEFINICIONES Y SIGLAS ................................................................................... 4

4

5

INTRODUCCIÓN .................................................................................................. 6 Marco Normativo de la Política ................................................................................................ 6 Ámbito de Aplicación ................................................................................................................... 7 Derechos de Acceso Titulares ................................................................................................... 7 Derecho de Actualización, Rectificación y Cancelación ................................................... 7 Finalidades del Tratamiento de Datos Personales ............................................................ 8 Desarrollo de la Politica. ............................................................................................................ 9

4.1 4.2 4.3 4.4 4.5 4.6

ESTRATEGIAS ................................................................................................... 10 Adecuado Tratamiento. ........................................................................................................... 10 Manual interno de Procesos y Procedimientos. .............................................................. 10 Divulgación y Capacitación.
 ................................................................................................. 10 Organización interna y Gestión de riesgos. ...................................................................... 10

5.1 5.2 5.3 5.4

6

PRINCIPIOS RECTORES
 ................................................................................. 10 6.1 Principio de Legalidad en materia de Tratamiento de datos. .................................... 10 6.2 Principio de Finalidad. ............................................................................................................. 10 6.3 Principio de Libertad. ............................................................................................................... 11 6.4 Principio de Veracidad o Calidad. ........................................................................................ 11 6.5 Principio de Transparencia. .................................................................................................. 11 6.6 Principio de Acceso y Circulación Restringida. ............................................................... 11 6.7 Principio de Seguridad. ........................................................................................................... 11 6.8 Principio de Confidencialidad. .............................................................................................. 11

7

SOLICITUD DE ACTUALIZACIÓN, RECTIFICACIÓN Y CANCELACIÓN ......... 12 7.1 Deberes ......................................................................................................................................... 13 7.1.1 Deberes en calidad de responsable: .................................................... 13 7.1.2 Deberes en calidad de encargado del tratamiento de los datos personales 13 7.2 Área responsable y procedimientos de consulta y reclamos para la actualización, rectificación, cancelación y oposición sobre datos personales: .............................................. 15 7.2.1 Consultas. ............................................................................................. 15 7.2.2 Reclamos. ............................................................................................. 15 7.2.3 Requisito de Procedibilidad: ................................................................. 16 7.3 Datos Personales de Carácter Sensible. ............................................................................. 16 7.4 Autorización de tratamiento de Datos Personales de niños, niñas y adolescentes 16 7.5 Mecanismos de seguridad de la información personal que reposa en las bases de datos de SUMāTo Group SAS .................................................................................................................. 17 7.6 Transferencia y Transmisión Internacional de Datos Personales ............................ 17 7.7 Limitaciones temporales al tratamiento de los Datos Personales ............................ 18

8

REFERENCIAS ................................................................................................... 19

SUMāTO Group / [email protected]

2

9

CONTROL DE CAMBIOS ................................................................................... 19

10 FORMATOS ........................................................................................................ 19 11 ANEXO A: AVISO DE PRIVACIDAD .................................................................. 20 11.1 Finalidad del tratamiento de Datos Personales: ............................................................. 20 11.2 Tratamiento de Datos Personales: ....................................................................................... 21 11.3 Derechos del titular de la información: ............................................................................. 21 11.4 Área responsable del tratamiento: ...................................................................................... 21 12 ANEXO B: AUTORIZACIÓN DE TRATAMIENTO DE DATOS PERSONALES .. 22 12.1 Finalidad del Tratamiento de Datos Personales: ............................................................ 22 12.2 Tratamiento de Datos Personales: ....................................................................................... 22 12.3 Usuarios de la Información: ................................................................................................... 22 12.4 Transferencia Internacional de Información a Terceros Países: .............................. 23 12.5 Derechos del Titular de la Información: ............................................................................ 23 12.6 Responsables y/o encargados del tratamiento de la información: .......................... 23 12.7 Autorización: ............................................................................................................................... 23 12.8 Cumplimiento de regulación extranjera. ........................................................................... 23

SUMāTO Group / [email protected]

3

1 OBJETIVO Garantizar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en las bases de datos y/o archivos que SUMāTO Group SAS haya recopilado para las finalidades previstas en la autorización respectiva. Dar las pautas generales para la protección de datos personales y sensibles, brindando herramientas que garanticen la autenticidad, confidencialidad e integridad de la información. La política institucional de protección de datos personales se estructura siguiendo los mandatos de la Ley Estatutaria 1581 de 2012.

2 ALCANCE La presente política regula el tratamiento de datos personales de Clientes, Colaboradores, Contratistas, Subcontratistas y/o Proveedores contenidos en todas las bases de datos personales de SUMāTO Group SAS. y rige a partir del día enero 7 de 2017. Las políticas de tratamiento de datos personales de SUMaTO Group SAS cubren todos los aspectos administrativos, organizacionales y de control que deben ser cumplidos por los directivos, funcionarios, contratistas y terceros que laboren o tengan relación directa con la misma. La política de protección de datos se integrará con los Manuales de Políticas de Seguridad de la Información y de Gestión de Activos de la Información, en el marco de la gestión de riesgo de la entidad.

3 DEFINICIONES Y SIGLAS Se establecen las definiciones de la Ley 1581 de 2012: o Autorización: Consentimiento previo, expreso e informado del Titular para llevar a cabo el Tratamiento de datos personales. o Base de Datos: Conjunto organizado de datos personales que sea objeto de Tratamiento. o Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables.

SUMāTO Group / [email protected]

4

o Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el Tratamiento de datos personales por cuenta del responsable del Tratamiento. o Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, decida sobre la base de datos y/o el Tratamiento de los datos. o Titular: Persona natural cuyos datos personales sean objeto de Tratamiento. o Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión. Se establecen las definiciones del Decreto 1377 de 2013: o Aviso de privacidad: Comunicación verbal o escrita generada por el responsable, dirigida al Titular para el Tratamiento de sus datos personales, mediante la cual se le informa acerca de la existencia de las políticas de Tratamiento de información que le serán aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se pretende dar a los datos personales. o Dato público: Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén sometidas a reserva. o Datos sensibles: Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y los datos biométricos. o Transferencia: La transferencia de datos tiene lugar cuando el responsable y/o Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se encuentra dentro o fuera del país. o Transmisión: Tratamiento de datos personales que implica la comunicación de los mismos dentro o fuera del territorio de la República de Colombia cuando tenga por objeto la realización de un Tratamiento por el Encargado por cuenta del responsable. SUMāTO Group / [email protected]

5

4 INTRODUCCIÓN De conformidad con lo dispuesto en la constitución política, la ley 1581 de 2012, el decreto reglamentario 1377 de 2013 y demás disposiciones complementarias, SUMāTO Group SAS como responsable(s) y/o encargado(s) del tratamiento de datos de carácter personal ha creado una política de tratamiento de datos personales en la cual se definen los principios que se cumplirán al recolectar, almacenar, usar y realizar cualquier actividad con sus datos personales, así como la continuación en el tratamiento de los datos personales obtenidos con anterioridad a la entrada en vigencia del decreto 1377 de 2013 de forma segura y confiable, de acuerdo a las finalidades establecidas en la “Autorización de Tratamiento de Datos Personales”. Nuestra política de tratamiento de la información personal, define las condiciones del tratamiento, así como los mecanismos para ejercer sus derechos a conocer, actualizar, rectificar, suprimir y revocar la autorización otorgada para el tratamiento de su información de carácter personal. Por lo anterior, cualquier decisión que de manera informada el cliente, colaborador, contratista y/o proveedor tome con base en lo anteriormente expuesto, podrá comunicarla dentro de los treinta (30) días hábiles contados a partir de la implementación de este aviso para solicitar la supresión de sus datos personales; de no ser así, SUMāTO Group SAS podrá continuar con el tratamiento de sus datos.

4.1 Marco Normativo de la Política Ley 1266 de 2009, “por la cual se dictan las disposiciones generales de habeas data y se regula el manejo de la información contenida en las bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones.” Sentencia C- 1011 de 2008 – Definición del dato registrado en los Registros Públicos de las Cámaras de Comercio, como dato público. Sentencia C – 748 de 2011 – Constitucionalidad del proyecto de Ley Estatutaria de Protección de Datos Personales. Ley 1581 de 2012, define su ámbito de aplicación en los derechos a la intimidad, el buen nombre y la autodeterminación informativa.

SUMāTO Group / [email protected]

6

4.2 Ámbito de Aplicación La política de tratamiento de la información y su manual se aplicarán obligatoriamente a todos los datos de carácter personal registrados en soportes físicos o digitales que sean susceptibles de ser tratados por SUMāTo Group SAS como responsable y/o encargado de dichos datos. El régimen de protección de datos personales que se establece en el presente documento no será de aplicación a las bases de datos o archivos indicados en el artículo 2 de la Ley 1581 de 2012.

4.3 Derechos de Acceso Titulares Toda persona natural tendrá el derecho de conocer si sus datos personales han sido sometidos a un tratamiento por parte de SUMāTo Group SAS en los términos expresados en la norma, además de ejercer el derecho de conocer el origen de sus datos y si los mismos han sido cedidos o no a terceros y, por ende, la identificación de los cesionarios. o Conocer, actualizar y rectificar sus datos personales. 
 o Solicitar prueba de la autorización otorgada. 
 o Ser informado respecto del uso dado a sus datos. 
 o Presentar quejas ante la SIC, revocar la autorización y/o solicitar la 
supresión del dato. o Acceder en forma gratuita a sus datos personales. 


4.4 Derecho de Actualización, Rectificación y Cancelación Toda persona natural tiene el derecho de comprobar frente al responsable del tratamiento de la información la exactitud y veracidad y solicitar la rectificación de sus datos personales recolectados cuando los mismos resulten inexactos, estén incompletos o conlleven a error. Los titulares de la información deberán indicar los datos que solicitan corregir y además acompañar la documentación que justifique lo solicitado. Igualmente, el titular podrá solicitar la supresión o cancelación de sus datos personales cuando el tratamiento de los mismos por parte del responsable o encargado resulte excesivo e inclusive inadecuado. Los datos de los titulares de la información serán conservados durante los tiempos previstos en las normas aplicables y/o dependiendo del caso, de las relaciones contractuales entre el titular de la información personal y el responsable del tratamiento. SUMāTO Group / [email protected]

7

4.5 Finalidades del Tratamiento de Datos Personales Con la que se efectúa la recolección de Datos Personales y tratamiento de los mismos, SUMāTO Group SAS, podrá hacer uso de los datos personales para las siguientes finalidades: o Registro de proveedores de la Compañía. o Registro de clientes de la Compañía. o Envío de avisos y campañas publicitarias sobre las soluciones, productos y servicios que ofrece la Compañía. o Envío de correos electrónicos y/o mensajes de texto informando el estado del trámite de solicitud de productos y servicios que ofrece la Compañía. o Envío de correos electrónicos y/o mensajes de texto informando el vencimiento de los productos y servicios adquiridos por clientes de la Compañía. o Envío de correos electrónicos y/o mensajes de texto para desarrollar actividades de mercadeo, estadísticas, investigación y demás propósitos comerciales que no contravengan la legislación vigente en Colombia. o Envío de información relativa a eventos organizados o patrocinados por la Compañía. o Atención de requerimientos judiciales o administrativos. o Cumplimiento de mandatos judiciales o legales. o Vinculación de proveedores. o Desarrollar el proceso de selección, evaluación y vinculación laboral, incluyendo sin limitación la negociación, elaboración y suscripción de contratos laborales. o Alojar datos personales en repositorios y bases de datos de SUMaTO Group SAS. o Exámenes médicos de ingreso y periódicos de empleados. o El proceso de negociación de contratos. o La ejecución y el cumplimiento de los contratos que celebre con sus clientes, proveedores y/o trabajadores y transferencia a aliados que deban conocer la información laboral y/o comercial. o Acceso a las instalaciones de SUMāTO Group SAS. SUMāTO Group / [email protected]

8

o Procesos de auditoría interna y/o externa. o El control y la prevención del fraude. o La prevención y control del lavado de activos y la financiación del terrorismo. o Intercambio o remisión de información en virtud de tratados y acuerdos internacionales suscritos por Colombia, o Consulta, almacenamiento, administración, transferencia, procesamiento y reporte de información a las Centrales de Información o bases de datos debidamente constituidas referentes al comportamiento crediticio, financiero y comercial. o Tratamiento, almacenamiento y transferencia a empresas aliadas, filiales, vinculadas, relacionadas o subordinadas de SUMāTo Group SAS ubicadas en Colombia o cualquier otro país para los fines aquí indicados.

4.6 Desarrollo de la Politica. o SUMāTO Group SAS incorpora en todas sus actuaciones el respeto por la protección de datos personales. o SUMāTO Group SAS solicitará desde el ingreso del dato autorización para el uso de la información que reciba, para las finalidades propias de su objeto misional. o SUMāTO Group SAS respeta los principios establecidos en la ley y atenderá en sus actuaciones y manejo de información de datos personales las finalidades que se deriven de la recolección de los mismos. o SUMāTO Group SAS implementará las estrategias y acciones necesarias para dar efectividad al derecho consagrado en la Ley Estatutaria 1581 de 2012. o SUMāTO Group SAS dará a conocer a todos sus usuarios los derechos que se derivan de la protección de datos personales.

SUMāTO Group / [email protected]

9

5 ESTRATEGIAS 5.1 Adecuado Tratamiento. Para el adecuado tratamiento y protección de los datos personales, se trabajará en tres perspectivas básicas: (i) Jurídica
(ii) Tecnológica y (iii) Organizacional Se desarrollarán las políticas particulares de tratamiento de datos personales, de acuerdo a la ley y a sus reglamentos, lo que se definirá en el Manual de Protección de Datos Personales.

5.2 Manual interno de Procesos y Procedimientos. La Administración, como responsable y/o encargado del tratamiento de los datos, deberá adoptar un manual interno de procesos y procedimientos para garantizar un adecuado cumplimiento de la ley y de esta Política.

5.3 Divulgación y Capacitación.
 La administración definirá los procesos de divulgación y capacitación del contenido de esta Política.

5.4 Organización interna y Gestión de riesgos. La Administración deberá definir la organización interna necesaria para el cumplimiento de esta Política, y tendrá en cuenta en su aplicación la gestión integral de riesgos.

6 PRINCIPIOS RECTORES
 6.1 Principio de Legalidad en materia de Tratamiento de datos. El Tratamiento de datos es una actividad reglada que debe sujetarse a lo establecido en la ley y en las demás disposiciones que la desarrollen.

6.2 Principio de Finalidad. El Tratamiento debe obedecer a una finalidad legítima de acuerdo con la Constitución y la Ley, la cual debe ser informada al Titular. SUMāTO Group / [email protected]

10

6.3 Principio de Libertad. El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.

6.4 Principio de Veracidad o Calidad. La información sujeta a Tratamiento debe ser veraz, completa, exacta, actualizada, comprobable y comprensible. Se prohíbe el Tratamiento de datos parciales, incompletos, fraccionados o que induzcan a error.

6.5 Principio de Transparencia. En el Tratamiento debe garantizarse el derecho del Titular a obtener del responsable del Tratamiento o del Encargado del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.

6.6 Principio de Acceso y Circulación Restringida. El Tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, y de las disposiciones Constitucionales y legales. En este sentido, el Tratamiento sólo podrá hacerse por personas autorizadas por el Titular y/o por las personas previstas en la Ley. Los datos personales, salvo la información pública, no podrán estar disponibles en Internet u otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los Titulares o terceros autorizados conforme a la citada Ley.

6.7 Principio de Seguridad. La información sujeta a Tratamiento por el responsable del Tratamiento o Encargado del Tratamiento a que se refiere la Ley se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros, y evitar su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

6.8 Principio de Confidencialidad. Todas las personas que intervengan en el Tratamiento de datos personales que no tengan la naturaleza de públicos están obligadas a garantizar la reserva de la SUMāTO Group / [email protected]

11

información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, pudiendo sólo realizar suministro o comunicación de datos personales cuando ello corresponda al desarrollo de las actividades autorizadas en la Ley y en los términos de la misma. La presente Política entra en vigencia a partir de su aprobación por parte de la Junta Directiva y su actualización dependerá de las instrucciones del Comité de Seguridad de la Información de SUMāTO Group SAS, en concordancia con los lineamientos de la misma Junta y la Presidencia Ejecutiva. Se articularán las acciones conducentes a la protección de datos personales dentro del Comité de Seguridad de la información, el cual realizará revisiones periódicas de la correcta ejecución de la Política de manera conjunta con el Oficial de Protección de Datos de la institución. La versión aprobada de esta Política se publicará en la página oficial de SUMāTO Group SAS, y se fijará en cada una de las sedes de la entidad. Es un deber de los empleados, proveedores y colaboradores, conocer esta Política y realizar todos los actos conducentes para su cumplimiento, implementación y mantenimiento. La Dirección de Talento Humano deberá velar para que en cada incorporación de un nuevo funcionario se exija la firma y aceptación de esta Política. La dirección Jurídica junto a las áreas de apoyo o soporte, realizará los ajustes de tipo contractual y legal para que, en los contratos, acuerdos de confidencialidad, y demás documentos se incorpore su cumplimiento.

7 SOLICITUD DE ACTUALIZACIÓN, RECTIFICACIÓN Y CANCELACIÓN El titular de la información personal deberá indicar los datos que se deben cancelar o rectificar, aportando si es del caso la documentación o prueba que lo justifique. La cancelación dará lugar al bloqueo de sus datos, conservándolos por parte del responsable, con el único fin de que éstos sean accesibles a autoridades administrativas o judiciales, siempre obedeciendo el plazo de prescripción que exista sobre los mismos. Cumplido este plazo debe procederse por parte del responsable a la cancelación definitiva de la información personal del interesado o afectado, que repose en nuestras bases de datos o archivos. En todo caso la solicitud de supresión de la información y la revocatoria de la autorización no procederán cuando el titular tenga el deber legal o contractual de permanecer en la base de datos

SUMāTO Group / [email protected]

12

7.1 Deberes de SUMāTO Group SAS en calidad de responsable y/o encargado del tratamiento de los Datos Personales: SUMāTo Group SAS está obligada a cumplir con los deberes impuestos por la ley, en consecuencia, se deben cumplir los siguientes: 7.1.1 Deberes en calidad de responsable:

o Solicitar y conservar, en las condiciones previstas en esta política, copia de la respectiva autorización otorgada por el titular. o Informar de manera clara y suficiente al titular sobre la finalidad de la recolección y los derechos que le asisten por virtud de la autorización otorgada. o Informar a solicitud del titular sobre el uso dado a sus datos personales o Tramitar las consultas y reclamos formulados en los términos señalados en la presente política. o Procurar que los principios de veracidad, calidad, seguridad y confidencialidad en los términos establecidos en la política. o Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. o Actualizar la información cuando sea necesario. o Rectificar los datos personales cuando ello sea procedente. 7.1.2 Deberes en calidad de encargado del tratamiento de los datos personales

Si realiza el tratamiento de datos en nombre de otra entidad u organización (Responsable del tratamiento) deberá cumplir los siguientes deberes: o Establecer que el Responsable del tratamiento esté autorizado para suministrar los datos personales que tratará como Encargado. o Garantizar al titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de hábeas data.

SUMāTO Group / [email protected]

13

o Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. o Realizar oportunamente la actualización, rectificación o supresión de los datos. o Actualizar la información reportada por los Responsables del tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo. o Tramitar las consultas y los reclamos formulados por los titulares en los términos señalados en la presente política. o Registrar en la base de datos la leyenda “reclamo en trámite” en la forma en que se establece en la presente política. o Insertar en la base de datos la leyenda “información en discusión judicial” una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal: Abstenerse de circular información que esté siendo controvertida por el titular y cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio. o Permitir el acceso a la información únicamente a las personas autorizadas por el titular o facultadas por la ley para dicho efecto. o Informar a la Superintendencia de Industria y Comercio cuando se presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los titulares. o Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio. o Deberes respecto a los Entes de Control (Superintendencia de Industria y Comercio) o Informar sobre cualquier violación a los códigos de seguridad y la existencia de riesgos en la administración de la información de los titulares. o Cumplir las instrucciones y requerimientos que imparta la Superintendencia de Industria y Comercio.

SUMāTO Group / [email protected]

14

7.2 Área responsable y procedimientos de consulta y reclamos para la actualización, rectificación, cancelación y oposición sobre datos personales: Para ejercer estos derechos el titular de la información podrá dirigirse a cualquier oficina de SUMāTo Group SAS, diligenciando el formato dispuesto o realizar su solicitud a través de: Para tales efectos, el titular del dato personal o quien ejerza su representación podrá enviar su petición, queja o reclamo de lunes a viernes de 8:00 a.m. a 6:00 p.m. al correo electrónico protecció[email protected] llamar a la línea telefónica de SUMāTo Group SAS, teléfono: 6672578, o radicarla en nuestra oficina en la ciudad de Bogotá D.C.: Calle 93ª #13-24 piso 5. 7.2.1 Consultas. SUMāTo Group SAS, como responsable y/o encargada del tratamiento de la información personal de los clientes, colaboradores, contratistas y/o proveedores y en general a todas las personas objeto de tratamiento de datos de carácter personal, deberá suministrar a dichas personas toda la información contenida en el registro individual o que esté vinculada con la identificación del titular.

La consulta se formulará por el medio habilitado y será atendida en un término máximo de diez días hábiles contados a partir de la fecha de recibo de la solicitud. Cuando no fuere posible atender la consulta dentro de dicho término, se informará al interesado, expresando los motivos de la demora y señalando la fecha en que se atenderá su consulta, que en ningún caso podrá superar los cinco días hábiles siguientes al vencimiento del primer término, sin perjuicio de las disposiciones contenidas en leyes especiales o reglamentos expedidos por el Gobierno Nacional que podrán establecer términos inferiores, atendiendo a la naturaleza del dato personal. 7.2.2 Reclamos.

El Titular que considere que la información contenida en una base de datos debe ser objeto de corrección, actualización o supresión, o cuando advierta el presunto incumplimiento de cualquiera de los deberes contenidos en ley 1581, podrán presentar un reclamo ante el responsable del Tratamiento o el Encargado del Tratamiento el cual será tramitado bajo las siguientes reglas: El reclamo se formulará mediante solicitud dirigida al responsable del tratamiento o al encargado del tratamiento, con la identificación del titular, la descripción de los hechos que dan lugar al reclamo y la dirección, acompañando los documentos que se quiera hacer valer. Si el reclamo resulta incompleto, se requerirá al interesado dentro de los cinco días siguientes a la recepción del reclamo para que subsane las fallas. Transcurridos dos meses desde la fecha del requerimiento sin que el solicitante presente la información requerida, se entenderá que ha desistido del reclamo. En caso SUMāTO Group / [email protected]

15

de que quien reciba el reclamo no sea competente para resolverlo, dará traslado a quien corresponda en un término máximo de dos días hábiles e informará la situación al interesado. Una vez recibido el reclamo completo, en un término no mayor a dos días hábiles se incluirá en la base de datos una leyenda que diga "reclamo en trámite" y el motivo del mismo. Dicha leyenda deberá mantenerse hasta que el reclamo sea decidido. El término máximo para atender el reclamo será de 15 días hábiles contados a partir del día siguiente a la fecha de su recibo. Cuando no fuere posible atender el reclamo dentro de dicho término, se informará al interesado los motivos de la demora y la fecha en que se atenderá su reclamo, la cual en ningún caso podrá superar los ocho días hábiles siguientes al vencimiento del primer término. 7.2.3 Requisito de Procedibilidad:

El titular o causahabiente sólo podrá elevar queja ante la Superintendencia de Industria y Comercio una vez haya agotado el trámite de consulta o reclamo ante el responsable del tratamiento o encargado del tratamiento.

7.3 Datos Personales de Carácter Sensible. SUMāTo Group SAS identifica los datos sensibles sobre los que eventualmente realice el tratamiento con el objetivo de:

o Implementar especial atención y reforzar su responsabilidad frente al tratamiento de este tipo de datos, lo que se traduce en una exigencia mayor en términos de cumplimiento de los principios y los deberes establecidos por la normatividad vigente en materia de protección de datos. o Establecer los niveles de seguridad técnica, legal y administrativa para tratar esa información de forma adecuada. o Aumentar las restricciones de acceso y uso por parte del personal de SUMāTo Group SAS y de terceros.

7.4 Autorización de tratamiento de Datos Personales de niños, niñas y adolescentes Cuando se trate de la recolección y tratamiento de datos personales de Niños, Niñas y Adolescentes, SUMāTo Group SAS debe cumplir los siguientes requisitos: o La autorización debe ser otorgada por personas que estén facultadas para representar los Niños, Niñas y Adolescentes.

SUMāTO Group / [email protected]

16

o Informar sobre el carácter facultativo de responder preguntas sobre los datos personales de los Niños, Niñas y Adolescentes. o El Tratamiento de los datos personales de los Niños, Niñas y Adolescentes debe garantizar el respeto de sus derechos fundamentales. o Informar cuales de los datos que serán objeto de tratamiento son sensibles y la finalidad del mismo.

7.5 Mecanismos de seguridad de la información personal que reposa en las bases de datos de SUMāTo Group SAS SUMāTo Group SAS cuenta con mecanismos y herramientas tecnológicas para controlar el acceso a las bases de datos corporativas donde reposa la información de los clientes, colaboradores, contratistas y/o proveedores que para tal efecto se detallan a continuación:

o La información se encuentra en servidores con destinación exclusiva de datos y acceso segregado por perfiles. o Los servidores están ubicados en una data center que cumple con los requisitos para soportar empresas pertenecientes a SUMāTo Group SAS. o El acceso a la información se hace a través de las aplicaciones las cuales están alojadas en repositorios. o Los usuarios que ingresan a la consulta de la información están validados dentro del dominio interno (Acceso seguro con usuario y clave y tiempo de expiración de la misma) o El acceso físico a las máquinas es restringido por encontrarse en un área exclusiva del edificio en donde el acceso de personas es controlado. o SUMāTo Group SAS tiene circuito cerrado de televisión – CCTV instalados en diferentes sitios internos y externos de las instalaciones. o Los videos de vigilancia pueden ser utilizados como evidencia ante cualquier autoridad judicial que lo solicite y/o proceso de investigación interno.

7.6 Transferencia y Transmisión Internacional de Datos Personales Cuando SUMāTo Group SAS actúe en calidad de Responsable de los datos personales suscribirá con los encargados del tratamiento de los datos personales, el contrato de transmisión de datos personales conforme lo establece el artículo 25 del Decreto 1377 de 2013. SUMāTO Group / [email protected]

17

Las soluciones basadas en servicios Cloud Computing se encuentran basadas en centros de datos de Estado Unidos con previa autorización del cliente.

7.7 Limitaciones temporales al tratamiento de los Datos Personales SUMāTo Group SAS recolectará, almacenará, usará o circulará los datos personales durante el tiempo que sea razonable y necesario, de acuerdo con las finalidades previstas en la presente política. Sin embargo, los datos personales deben ser conservados por SUMāTo Group SAS conforme se exija por disposición legal o contractual.

SUMāTO Group / [email protected]

18

8 REFERENCIAS Los documentos siguientes, en su última edición/revisión, servirán como referencia en la aplicación de este procedimiento: Ley 1581 de 2012: Régimen General de Protección de Datos Personales Decreto 1377 de 2013: Reglamenta parcialmente la Ley 1581 de 2012

9 CONTROL DE CAMBIOS FECHA

NOMBRE

DESCRIPCIÓN

VERSIÓN

10/24/ 2016

Andrés Lozada

Inicial

0.1

07/01/2017

Andrés Lozada

Actualización

2.0

10 FORMATOS PROCESO LEG

PROCEDIMIENTO

FORMATO

Data Protection

F1

SUMāTO Group / [email protected]

CODIGO

LEG-PD-F1-001

DISTRIBUCIÓN

Público

19

11 ANEXO A: AVISO DE PRIVACIDAD Este documento es confidencial y contiene información propiedad de SUMāTO Group SAS, el contenido no puede ser duplicado, distribuido o diseminado sin el consentimiento expreso y escrito de SUMāTO Group. SAS, No obstante, la persona a quien está dirigida está documento puede compartirlo y distribuirlo dentro de su organización únicamente a las personas involucradas que requieran conocer la información, haciéndoles saber el carácter confidencial de esta información. Todas las personas que reciban copia de este documento deben guardarlo y protegerlo con el mismo nivel de cuidado y protección que brindan a su propia información confidencial, aceptando los términos y condiciones expresados anteriormente sin excepción. SUMāTO Group SAS identificada con NIT No. 901.012.973-1, domiciliada en la Calle 93A #13-24 de la ciudad de Bogotá D.C., para el adecuado desarrollo de sus actividades comerciales, así como para fortalecer sus relaciones con terceros, solicita, recolecta, almacena, utiliza, circula y suprime datos de carácter personal. Teniendo en cuenta lo anterior, SUMāTO Group SAS actúa como responsable del tratamiento de datos personales correspondientes a personas naturales con las cuales tiene o ha tenido algún tipo de vínculo. Cuando SUMāTO Group SAS actúa como encargada del tratamiento de datos personales, debe cumplir los lineamientos que le sean comunicados, mediante documento escrito, por el responsable del tratamiento de los mismos.

11.1 Finalidad del tratamiento de Datos Personales: Nuestros datos serán tratados por SUMāTo Group SAS, para las siguientes finalidades: i) Desarrollar el proceso de selección, evaluación y vinculación laboral, incluyendo sin limitación la negociación, elaboración y suscripción de contratos laborales. ii) Alojar datos personales en repositorios de SUMāTo Group SAS. iii) Exámenes médicos de ingreso y periódicos de empleados. iv) El proceso de negociación de contratos. v) La ejecución y el cumplimiento de los contratos que celebre con sus clientes, proveedores y/o trabajadores y transferencia a aliados que deban conocer la información laboral y/o comercial. vi) Acceso a las instalaciones de SUMāTo Group SAS. vii) Registrar información de empleados en las bases de datos de SUMāTo Group SAS. viii) Informar sobre nuevos productos o servicios y/o sobre cambios en los mismos. ix) Procesos de auditoría interna y/o externa. x) El control y la prevención del fraude. xi) La prevención y control del lavado de activos y la financiación del terrorismo. xii) Intercambio o remisión de información en virtud de tratados y acuerdos internacionales suscritos por Colombia. xiii). Consulta, almacenamiento, administración, transferencia, procesamiento y reporte de información a las Centrales de Información o bases de datos debidamente constituidas referentes al comportamiento crediticio, financiero y comercial. xiv) Tratamiento, almacenamiento y transferencia a empresas aliadas, filiales, vinculadas, relacionadas o subordinadas de SUMāTO Group / [email protected]

20

SUMāTo Group SAS ubicadas en Colombia o cualquier otro país para los fines aquí indicados. xv) Los indicados en la autorización otorgada por el titular del dato o descritos en el aviso de privacidad respectivo, según sea el caso.

11.2 Tratamiento de Datos Personales: El tratamiento podrá ser realizado directamente por las citadas sociedades o por lo encargados del tratamiento que ellas consideren necesarios.

11.3 Derechos del titular de la información: Que, como titular de la información, nos asisten los derechos previstos en la Constitución y la ley, específicamente la Ley 1581 de 2012 y su decreto reglamentario 1377 de 2013. En especial, el derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre nosotros. Particularmente tiene derecho a: i) Conocer y rectificar sus datos personales; ii) Ejercer el derecho de habeas data; iii) Solicitar pruebas de la autorización para recolectar y tratar sus datos personales; iv) Ser informado sobre el uso que se ha dado a sus datos personales; v) Presentar quejas ante la Superintendencia de Industria y Comercio y vi) Revocar la autorización y/o solicita la supresión del dato.

11.4 Área responsable del tratamiento: Para ejercer estos derechos el titular de la información podrá dirigirse a cualquier oficina de SUMāTo Group SAS, diligenciando el formato dispuesto o realizar su solicitud a través de: Para tales efectos, el titular del dato personal o quien ejerza su representación podrá enviar su petición, queja o reclamo de lunes a viernes de 8:00 a.m. a 6:00 p.m. al correo electrónico protecció[email protected] llamar a la línea telefónica de SUMāTo Group SAS, teléfono +57 1 6672578, o radicarla en nuestra oficina en la ciudad de Bogotá D.C.: Calle 93ª #13-24 piso 5. Marcas, productos, soluciones de SUMāTO Group, compañías y fabricantes citados en este documento se encuentran registradas.

SUMāTO Group / [email protected]

21

12 ANEXO B: AUTORIZACIÓN DE TRATAMIENTO DE DATOS PERSONALES Que SUMāTO Group SAS en calidad de responsables y/o encargados del tratamiento de datos personales me han informado, de manera expresa:

12.1 Finalidad del Tratamiento de Datos Personales: Nuestros datos serán tratados por SUMaTO Group SAS, para las siguientes finalidades: Vinculación de proveedores. i) Desarrollar el proceso de selección, evaluación y vinculación laboral, incluyendo sin limitación la negociación, elaboración y suscripción de contratos laborales. ii) Alojar datos personales en repositorios de SUMaTO Group SAS. iii) Exámenes médicos de ingreso y periódicos de empleados. iv) El proceso de negociación de contratos. v) La ejecución y el cumplimiento de los contratos que celebre con sus clientes, proveedores y/o trabajadores y transferencia a aliados que deban conocer la información laboral y/o comercial. vi) Acceso a las instalaciones de SUMaTO Group SAS. vii) Registrar información de empleados en las bases de datos de SUMaTO Group SAS. viii) Informar sobre nuevos productos o servicios y/o sobre cambios en los mismos. ix) Procesos de auditoría interna y/o externa. x) El control y la prevención del fraude. xi) La prevención y control del lavado de activos y la financiación del terrorismo. xii) Intercambio o remisión de información en virtud de tratados y acuerdos internacionales suscritos por Colombia. xiii). Consulta, almacenamiento, administración, transferencia, procesamiento y reporte de información a las Centrales de Información o bases de datos debidamente constituidas referentes al comportamiento crediticio, financiero y comercial. xiv) Tratamiento, almacenamiento y transferencia a empresas aliadas, filiales, vinculadas, relacionadas o subordinadas de SUMaTO Group SAS ubicadas en Colombia o cualquier otro país para los fines aquí indicados. xv) Los indicados en la autorización otorgada por el titular del dato o descritos en el aviso de privacidad respectivo, según sea el caso.

12.2 Tratamiento de Datos Personales: El tratamiento podrá ser realizado directamente por las citadas sociedades o por lo encargados del tratamiento que ellas consideren necesarios.

12.3 Usuarios de la Información: Que los datos podrán ser compartidos, transmitidos, entregados, transferidos o divulgados para las finalidades mencionadas, a: i) Las personas jurídicas que tienen la calidad de filiales, subsidiarias o vinculadas, o de matriz de SUMaTO Group SAS. ii) Los operadores necesarios para el cumplimiento de derechos y obligaciones derivados de los contratos celebrados con SUMaTO Group SAS. iii) personas jurídicas que SUMāTO Group / [email protected]

22

administran bases de datos para efectos de prevención de lavado de activos y financiación del terrorismo.

12.4 Transferencia Internacional de Información a Terceros Países: Que en ciertas situaciones es necesario realizar transferencias internacionales de mis datos para cumplir las finalidades del tratamiento.

12.5 Derechos del Titular de la Información: Que, como titular de la información, nos asisten los derechos previstos en la Constitución y la ley, específicamente la Ley 1581 de 2012 y su decreto reglamentario 1377 de 2013. En especial, el derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre nosotros.

12.6 Responsables y/o encargados del tratamiento de la información: Que los responsables y/o encargados del tratamiento de la información es SUMaTO Group SAS.

12.7 Autorización: De manera expresa, autorizamos el Tratamiento de los datos y, de ser necesario, la transferencia nacional e internacional de los mismos, por las personas, para las finalidades y en los términos que nos fueron informados en este documento.

12.8 Cumplimiento de regulación extranjera. Las partes declaran que adicional a la regulación local aplicable, aceptan las restricciones establecidas por la Oficina de Control de Activos Extranjeros del Departamento del Tesoro de los Estados Unidos de Norteamérica (United States Treasury Department´s Office of Foreign Assets Control - OFAC).

SUMāTO Group / [email protected]

23

_____________________________

______________________________

SUMāTO Group S.A.S.

[*]

Rodrigo Paris Silva

XXXXXXX

Representante Legal

Representante Legal

Fecha: _______________________________

Fecha: _____________________________

SUMāTO Group / [email protected]

24